アップルのアプリストアー「App Store」で公開されていたゲーム「プロエリウム」が先月4日、突然別の業者の手に渡ってしまうという事件が起きた。アプリの管理に使用していた開発者のアカウント情報が盗まれ、アプリの所有権を別の業者に転送する、アプリの譲渡が行われてしまったという。
Webサービスを利用するアプリの中には、アカウント情報の入力を必要とするものがある。身近なところでは、メールソフトがそうだ。Webブラウザ上では、ログインしたり個人情報を入力したりといった作業を日常的に行っている。もし使用しているメールソフトやブラウザに悪意があったとしたら、入力情報を盗み取られ悪用されてしまうかも知れない。ふだん何気なく行っていることだが、これは、使用しているソフトやサービスを信頼しているからこそ、できることだ。
「App Store」でゲームアプリを盗まれてしまった開発者は、自身のアプリの売上を管理するために、サードパーティ製のアプリを使用していたという。売上管理には、自身のアプリ管理に使用しているiTunes Connect(アイチューンズコネクト)のアカウント情報を入力する必要がある。被害にあった開発者は、盗まれた自身のゲームアプリが、この売上管理アプリの開発者名で公開されたことから、このアプリを通じて自分のiTunes Connectアカウントが盗まれたのではないかと結論付けている。
■非公認アプリは危険?
IPA(情報処理推進機構)は1日、「非公認のスマートフォンアプリに不用意にアカウント情報を登録していませんか? 」と題した9月の呼びかけを公開した。呼びかけでは、事件を特定する情報こそ述べらていないが、先のアプリ盗難を受けての注意呼びかけと思われる。
呼びかけでは、今年1月にサービス事業者非公認のスマートフォンアプリ騒ぎがあったことについても触れている。これは、昨年末から今年1月にかけ、App Storeで「マツモトキヨシ」や「ピザーラ」などの公式アプリに見せかけたアプリが公開されていたことを指したものと思われる。これらアプリによる具体的な被害は確認されておらず、どのような目的で公開されたのかは未だ不明だが、IPAによると、非公認とは気付かずにダウンロードしたユーザーがいたという。
アプリやサービス上での入力は、入力情報をそのアプリやサービスに全面的に委ねてしまうことである。そのことを、しっかり認識しておきたい。入力した情報は、常に悪用される危険が付きまとうので、アプリやサービスは信頼できるものを選ばなければいけない。
IPAでは、IDやパスワード情報が必要となる場合には、サービス事業者公認のアプリを利用することを推奨している。確かに公認アプリならば、自身のサービスのID/パスワード情報を盗む必要はないので安心だ。しかし、入力するのはID/パスワード情報だけではない。端末情報や個人情報を必要以上に抜き取ったり、アカウントと関連付けたりするものがあるので注意が必要だ。信頼性や実績、評判などをよく調べ、生じるかもしれないリスクを考えたうえで、利用するか否かを決めるよう心がけたい。
■非公式アプリが安心して利用できる世の中に
サードパーティ製のアプリには、公式アプリにはないアイデアが盛り込まれた便利なものもたくさんある。こうした善意の非公式アプリによって、インターネットやネット上のサービスが支えられ、発展してきたという背景もある。今回のIPAの今回の呼びかけにより、非公式なアプリは危険という風潮が広まり、善意の非公式アプリが衰退してしまうようなことはあってはならない。IPAには、非公式アプリの危険を説くとともに、ぜひとも非公式アプリを安心して利用できる環境を育んでいただきたい。
(2014/09/02 ネットセキュリティニュース)
【関連URL】
・2014年9月の呼びかけ「非公認のスマートフォンアプリに不用意にアカウント情報を登録していませんか?」(IPA)
http://www.ipa.go.jp/security/txt/2014/09outline.html
<未承認アプリ関連>
・[2013/12/27]当社の社名を騙るアプリに関するご注意(マツモトキヨシ)
http://www.matsukiyo.co.jp/news/39/
・[2014/01/14] ピザーラ公式ではないiPhoneアプリにご注意下さい!(ピザーラ)
http://www.pizza-la.co.jp/SC_announcement.aspx
・[2014/01/15]お客様への重要なお知らせ(ツルハドラッグ)
http://www.tsuruha.co.jp/news/?cm=v&id=872